Обсуждаем DDoS ботов

[Apocalypse]

Ну в общем началась осень и полезли...

Два поциента:
https://xss.pro/index.php?topic=24626
https://xss.pro/index.php?topic=24604

Второй в общем оптима, только на сиплях (что в принципе ничего не меняет). Первый якобы с синфлудом блекджеком и шлюхами ну и конским ценником

 

[Ragnar]

Да там в топе вопросы по поводу формирования пакетов, как автор ответит так сразу ясно станет что за продукт и насколько соответствует описанию

 

[Quake3]

Ну насчет переделанной оптимы - может там все и нормально, по крайней мере ничего неправдоподобного в описании я не заметил. Цена может немного завышена, так как обходов вроде нет (виндовс фаервол не в счет), но все иное вроде норм.

А вот мега лоадырь-ддос на Масм кажется каким-то обманом или преувеличением. Во-первых, удивляет к-тво потоков - на кой черт создавать 2 тысячи потоков? Ведь каждый поток это память (стек, ТЕВ и т.д.), не упадет ли сама винда от такого к-тва памяти? Даже если там фиберы, все равно много. Да и переключение контекста.
Во-вторых, методы атаки -

Особый режим SYN, который не представлен ни в одном современном паблик боте. Эксклюзив и монстрррро!

тоже интересно, есть ли там что-то новое или ерунда. Ну и по поводу рав сокетов неясно, так как на винде, как известно, есть определенные ограничения в их использовании.

 

[Apocalypse]

никаких дров. ручками формируется. асм блеять) хардкор блеять)

Тащемто он ответил, теперь все ясно <_<

 

[Dark Koder]

Apocalypse , не,меня убила вот эта фразочка:

на уровне пользователя мы формируем реальный ип, админом мы спуфим.
шо за стеб?)

Бедные админы,уже не спуферами спуфят,а админами :bang: :crazy:
Бля,я плачу...

 

[Aels]

Dark Koder
думаю предполагается спуфинг ip отправителя, если есть админские права на машине.

 

[Ar3s]

Теоретически - это все реально под админом.
Но практически - это дикий объем работы и я слабо себе представляю реализацию...

 

[Ragnar]

Под системой а не под админом

 

[Dark Koder]

Aels,вполне возможно.
Ar3s,невозможного ничего нет,но вот делать это долго и нудно. хотя если удастся автоматизировать процесс-круто,че уж...

 

[Ar3s]

Я не верю в сказки и магию...

Да и пофигу. Тут инфа от автора данного софта пришла. И я честно чешу репу рассуждая над темой что делать и как поступить...

 

[Quake3]

Инфа отсюда

Пишет ТС:

имеет очень низкую нагрузку на CPU

пишет Аr3s:

dd1 - загрузка процессора от 15 до 100% виртуалки. Скачет чаще в районе 50-70%.
dd3 - 100% без колебаний.
dd5 - 100% без колебаний.
Для уверенности провел тест на криптованном и не криптованом билде. Два раза на некриптованном.

100% нагрузки на проц - сколько проживет бот при такой атаке? У юзера же все повиснет, он выключит комп нафиг, а если это будет повторяться, то снесет винду и все дела. Зачем делать (цитирую опять ТС):

"колоссальную выходную мощь более 1500 http (и более 30 000 UDP) запросов в минуту"

если бот быстро сдохнет?

Или я с утра что-то не так понимаю, или все в самом деле печально.

 

[Apocalypse]

А есть ли в нем какая маскировка процесса, инжекты? Защита ключей реестра и собственного файла от удаления/изменения?

 

[demien]

Сейчас почти не осталось одноядерных писюков на траффике, в чем проблема програмно грузить лишь одно из ядер, пускай и в несколько потоков... Пздц

 

[Apocalypse]

Негодую в общем...

сплоит/forum/index.php?showtopic=73098

Продает сорцы автор солара, все бы ничего, но цена... бл#ть 14к бачей. За что? За чтоооооо?

- various DDOS methods - паблик
- herding options and a Formgrabber to grab HTTP, HTTPS and SPDY forms from Internet Explorer, FireFox and Chrome - паблик (ну разьве что спиди, но если рфц покурить, то врятли там даже на 1к бачей работы)
- grabs POP3 and FTP login credentials from most email and ftp clients - наверняка куски пони или прочего паблика + перехват апишек (тащемто паблик)

Автор якобы кичится базонезависимым кодом, но бл#ть - это ведь он сам себе создал лишний гемор. Я ковырял бинарь, используются х#йнюшки с тлс калбеками, но опять же зачем? Даже я смог добраться до начинки =)

Т.ч хз чем там упарываются поляки или румыны или кто там автор по нации, но явно чем-то упарываются <_<

Я все понимаю, каждый дрочет как хочет, но цена овердохуя, считаю 2-3к приемлимой ценой. А ведь автор сам продавал бинари по 200 бачей, что в принципе очень доступно для всех слоев школьников (а именно цену бинаря я считаю причиной такому всплеску этой малвари) :fuck:

 

[Ragnar]

grabs POP3 and FTP login credentials from most email and ftp clients - наверняка куски пони или прочего паблика + перехват апишек (тащемто паблик)

Если только grabs, то без перехвата.
А в целом согласен, звучит как бред, адекватный ценник за всё это 5-6к, не больше.

 

[Apocalypse]

Не-не, там точно перехват, не помню только какой апишки, вроде даже как нативной какой-то =)

 

[Apocalypse]

ferret 2.1

Тащемто как писал Арес, автор отказался давать на реверс, но комрады с факав откопали семплы.

Поковырялся. Ну так, на отъебись ковырялся ибо лень. Инжект в ишака, пост 1.0 (видимо с 1.1 не сдружились). Финты ушами с дешифровкой своего кода в памяти (неплохо для дельфи), строки под бейз64+рц4подобное. Дропнулось в програмс файлз на хп под админом, автозапуск через реестр.

Ковыряйте кому интересно